Bunni DEX 在复杂智能合约攻击中损失840万美元

此次攻击针对Bunni创新的流动性分配函数（LDF）系统——该平台采用这种特殊机制替代标准的Uniswap协议。漏洞被发现后数小时内，Bunni团队作为安全措施暂停了所有区块链网络上的智能合约操作。

攻击手法解析

漏洞利用集中在Bunni定制化的LDF系统，该系统负责管理流动性在不同价格区间的分配。虽然该设计旨在提升流动性提供者的收益，但黑客找到了操纵方法。

KyberNetwork联合创始人Victor Tran在社交媒体解析了攻击手法：黑客通过特定金额交易干扰Bunni的再平衡计算，这些精心设计的交易量导致系统错误计算流动性提供者的资金池份额。

攻击者重复该操作后，逐步提取了超出应得份额的代币。最终盗取约240万美元的以太坊资产及600万美元的Uniswap二层网络Unichain资产，并通过Across Protocol跨链桥将所有资金转移至以太坊。

来源：@bunni_xyz

安全公司Hacken追踪到被盗资产流向特定钱包地址，区块链数据显示包括133万美元USDC和104万美元USDT稳定币。

应急响应与补救措施

事件发生后，Bunni立即暂停了以太坊、Base、Arbitrum和BNB智能链等所有支持网络的智能合约功能。

来源：@bunni_xyz

核心贡献者@Psaul26ix紧急呼吁用户撤资："请立即提取Bunni平台资金"。平台还罕见地向黑客提出10%漏洞赏金的条件，并通过以太坊网络发送链上消息附上联系方式。

合作协议方迅速发布安全声明。Euler Finance首席执行官Michael Bentley确认其借贷协议未受影响，其他监测中的DeFi平台也报告运营正常。

DeFi新星的陨落

此前Bunni在Uniswap v4生态占据主导地位，其开发的三个钩子在HookRank排名中占据前四席位的三席，处理着该生态59%的交易量。

其创新性在于"再质押钩子"设计，使存款代币可同时赚取交易费和借贷收益。Base链上ETH-USDC 1.1资金池虽锁定价值较低，但30天内创造8000万美元交易量，为流动性提供者带来2690%的年化收益。

该平台还通过"流动性密度函数"解决了Gas费波动问题，实现自动化头寸管理并防御特定MEV攻击。

DeFi创新的安全困境

尽管经过Trail of Bits和Cyfrin等知名公司的安全审计，但漏洞是否源于后期代码变更尚不明确。2025年8月DeFi领域已发生16起安全事件，损失达1.63亿美元，过去两个月累计超3亿美元。

安全专家指出，攻击者正转向具有复杂机制的新协议。Uniswap v4生态中仅32%流动性池使用钩子功能，8%交易量流经这些增强协议，这种早期阶段创新往往伴随较高安全风险。

未来展望

此次事件为DeFi创新风险敲响警钟。虽然Uniswap基金会已投入1.44亿美元激励钩子开发，但短期内可能延缓v4生态采用进程。对用户而言，需充分认知前沿协议伴随的智能合约漏洞等传统金融不存在的技术风险。